ヒトを軸にしたリスク低減
情報システム部門のISMS責任者である西和範氏によると、DIGGLEは「技術的な対策」だけでなく「ヒト」の教育に注力しています。今年のBCP訓練では、従来の安否確認から標的型攻撃メール訓練に変更されました。世間では標的型メールの被害が増加しており、DIGGLE内でも代表の名前を語るメールが届くなど、脅威が増しているため、日頃の教育を通じて社員のリテラシーを向上させることが重要だと考えています。顧客がDIGGLEのプロダクトに経営管理にまつわる重要な情報を安心して預けるためには、信用が不可欠であり、セキュリティインシデントは「隙」から生じるとし、不用意なリンククリックだけでなく、設定ミスや物理的な紛失など、日々の行動の積み重ねが重要であると強調しています。
社員の協力的な風土についても触れられ、DIGGLEが扱うデータの重要性に対する共通認識が社員に深く浸透していることが、高いリテラシーに繋がっていると西氏は述べています。
「やらされ仕事」にならないための工夫
情報セキュリティ規定に基づく指示だけでは人は動かないため、「もしこのデータが漏洩したら、顧客にどのような影響が出るか」という相手に寄り添った観点で説明する工夫がされています。また、伝える相手の属性に合わせて説明を調整し、文字だけでは固くなりがちなため、ハドルミーティングで話す機会も増やしているとのことです。ISMSの決まりとして各グループに1人担当者を立て、毎月セキュリティ定例を開催し、社員一人ひとりがセキュリティ運用レベルを認識できる場を提供しています。
ISMS認証維持においては、各種文書の効率的な管理が鍵となります。ISMS管理ツールで一括管理することで、格納場所の検索や版数管理が不要になり、現場の協力を得やすくなったそうです。資産の棚卸しや供給者・委託先の入力もスムーズに進められました。
今後の展望
今後のビジョンとして、社内業務やプロダクト機能でのAI利用増加に伴うデータガバナンスの強化が挙げられています。社員教育と共に、顧客のデータが安全に保護されていることを説明責任を持って証明したいと考えています。セキュリティを「守り」ではなく「サービス向上のための攻めの基盤」へと飛躍させることを目指し、ガイドラインを現実即した形に改定していく方針です。
西和範氏(にし・かずのり)は、コーポレートIT・情シス担当であり、ISMS責任者を務めています。大手電機メーカー子会社、シンクタンク、コンサルティング会社などで10年以上にわたり情報システム業務に従事。PCの資産管理からネットワークインフラ構築、ISMS運用、セキュリティガイドライン策定まで幅広い経験を持ち、現在はDIGGLEで情報セキュリティ全般を統括しています。
プロダクトにおけるセキュリティ
EM(エンジニアリングマネージャー)の重松郁哉氏は、セキュリティのリスクを絶対ゼロにはできないとしながらも、あってはならないという認識のもと、一つ一つの積み重ねが重要であると語っています。昨年8月に入社した寺川美月氏がセキュリティも担当することで、システムが外部基準に準拠できているか、ログは取れているか、暗号化されているかなどを再確認できているとのことです。人による脆弱性もリスクの一つであるため、訓練で社内意識を醸成することが重要だとし、顧客に価値を届ける開発スピードとのバランスを取りながら、最低限気にすべき点をメンバーに認識させる施策と浸透を日々行っています。
組織の透明性の重要性
重松氏は、セキュリティインシデントが早く検知できても、対応しきれないことが起こりがちであり、それが組織の透明性と関係していると指摘しています。失敗をすぐに上長や情シスに伝えられる環境があるかどうかで、会社全体のセキュリティ姿勢が分かれるとし、DIGGLEのカルチャーはプラスに働いていると考えています。過ちを責めるのではなく、その後の対応が重要だという考えが根付いています。
担当者制の導入とその効果
エンタープライズ企業の増加に伴い組織が大きくなる中で、セキュリティ専任担当者を立てる判断は妥当であったと重松氏は語ります。全体人数に対してセキュリティエンジニアの割合は1〜2%が妥当とされており、DIGGLEの社員数150人規模に対して1人の専任担当者は適切な判断です。担当者がいることで深く細かな部分まで把握でき、窓口が明確になったことで各チームがセキュリティで迷った際にすぐに相談できるようになりました。属人化は避けられない部分もありますが、資料化・ドキュメント化を進めることで、最低限のセキュリティ意識を社内に広げ、統一していく方向です。
アクセス制御とログ記録
プロダクトへのアクセス制御については、顧客の環境に入れるDIGGLE社員の権限を絞り、必要な担当者しか見られない環境に整備されています。ログ記録については、SRE・セキュリティ担当の寺川氏が、必要なログが正しく、適切な期間取れているか、不要なデータが含まれていないかなどを見直し、誰がどんな情報を使ったのかを必要に応じて確認できる整理を行いました。
ログを取る目的は、障害や外部攻撃の際に、いつ何が悪さをしたかをログで判断し、適切に対処するための「足跡」として重要であるためです。監視という側面もありますが、エンジニア自身の操作も記録されることで、何かあった時に自分を守ることにも繋がるとし、心理的負荷は感じていないとのことです。IT業界では「足跡を取る文化」が根付いており、デメリットや心理的負荷は感じられないと重松氏も述べています。
現場のこだわり
重松氏は、プロダクトの成長スピードとセキュリティの堅牢さのバランスを常に考えていると語ります。セキュリティとして「ダメ」という判断だけでなく、「ではどうするか」という代替案を提示することが重要であり、この点は今後も意識していきたいとしています。
外部基準への準拠と今後の展望
寺川氏は、外部基準を満たすことがゴールではなく、基準を満たした上で継続的に改善することが重要であると述べています。攻撃手法や脆弱性は常に更新されるため、定期的な見直し運用が不可欠です。透明性として、一定ラインを満たしていることを示せる状態にしておくことが重要であり、第三者目線のチェックシートを作成し、必要に応じて顧客に情報を提供できる状態を整えることで、安全に契約できる判断軸となるとしています。また、内部向けにも継続的見直しのペースメーカーとして機能します。
現在、DIGGLEは以下の3つの外部基準に対応しています。
-
IPA「安全なウェブサイトの作り方」
-
総務省「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編) 第3版」
-
総務省「AIを用いたクラウドサービスの安心・安全・信頼性に係る情報開示指針(ASP・SaaS編)」
-
経済産業省「クラウドサービスレベルのチェックリスト」
今後の展望
重松氏は、何かが起きた時だけでなく、日々誰でもチェックできる状態を作りたいと述べています。セキュリティや法務がゲートキーパー的になるのではなく、起きたことに対してどう対応するかを考える形のセキュリティエンジニアリングを目指しています。寺川氏も、セキュリティは一度作って終わりではなく、プロダクトや会社の成長に合わせて進化させ続ける必要があると強調しています。顧客が「このセキュリティでは使えない」という理由でDIGGLEを諦めることがないよう、信頼に価値を生み出し、「セキュリティがしっかりしているからDIGGLEなら安心」と言ってもらえるよう、進化させ続けたいと語っています。
重松郁哉氏(しげまつ・ふみや)は、EM(エンジニアリングマネージャー)を務めています。営業職、マーチャンダイジングを経て、SESとしてインフラエンジニアに転身。ヤフー株式会社(現LINEヤフー株式会社)で基盤SREを担当後、プロダクトマネージャーとしてもキャリアを積みました。現在はDIGGLEでエンジニアリングマネージャーとして、プロダクト開発全体を統括しながら、顧客の重要データを預かる責任を意識したセキュリティ体制の構築を推進しています。
寺川美月氏(てらかわ・みづき)は、SREおよびセキュリティ担当です。文系大学卒業後、3年間の営業職を経てエンジニアに転身。インフラエンジニアとしてネットワークやセキュリティなどインフラ基盤領域を中心に経験を積み、DIGGLEにはSREとして入社。エンタープライズ強化に伴い、外部の視点を活かしたセキュリティ体制の見直しと改善に注力し、現在はセキュリティ専任担当として技術的対策から組織文化の醸成まで幅広く推進しています。
まとめ
DIGGLEのセキュリティは、技術・人・文化の三位一体で構築されています。ログの管理やISMS管理ツールによる効率化、人を軸にした教育体制による意識醸成、専任担当者による深い専門性の確保、そして何よりも「オープンに報告できる組織文化」。これらが相互に作用し、顧客の信頼に応える強固な基盤となっています。セキュリティを「守り」ではなく「攻めの基盤」と位置づけ、透明性を持って進化させ続ける。それがDIGGLEのセキュリティに対する揺るぎない姿勢です。
この記事へのコメントはありません。